Dridex распространяется через взломанные FTP-ресурсы

Компания Forcepoint сообщила о возобновлении активности опасного банковского троянца Dridex, похищающего учетные данные онлайн-банкинга. На протяжении минувшего года этот зловред отошел в тень, однако теперь вновь напомнил о себе, причем достаточно неожиданным образом. Исследователи Forcepoint зафиксировали масштабную фишинговую кампанию, в ходе которой пользователям рассылались письма со ссылками, ведущими к загрузке Dridex. Традиционно киберпреступники используют HTTP-ссылки, но в данном случае они предпочли ссылки на ранее скомпрометированные FTP-ресурсы.

Троянец распространяется во вредоносных документах форматов Word и Excel. Примечательно, что организаторы атаки раскрывают учетные данные скомпрометированных доменов. Эксперты Forcepoint видят два возможных объяснения. С одной стороны, в распоряжении хакеров может иметься достаточно большой запас взломанных ресурсов. С другой, они могут специально делиться такими доменами с «коллегами» – чем больше злоумышленников используют один и тот же домен, тем сложнее специалистам по кибербезопасности и правоохранителям расследовать атаку. Предполагается также, что для рассылки фишинговых писем был использован ботнет Necurs: многие домены, задействованных в рассылке, уже ассоциировались ранее с атаками Necurs.